Veřejná IP nedostupná z vnitřní sítě

[Sten]

Nejsem zrovna sítař, ale podle mě to mapování dělaji aby ušetřili adresy. Kdyby byla veřejná adresa přímo na mém routeru tak by druhou adresu museli dát jako bránu. Tak že co připojení to dvě adresy. Takhle je to stojí jen jednu.

Ta brána stejně musí mít veřejnou IP adresu, takže můžete pro routování klidně použít tu. Nebo můžete použít interní adresu pro bránu a tu veřejnou adresu ve vnitřní síti routovat /32.

To samé dělá třeba o2 u adsl kde se neni možné připojit na svojí vlastní ip když jí mám jako doménové jméno.

Tohle dělá špatně nastavené routování ve vaší síti.

[Reklama]

[M.]

Ano, tato NAT1:1 "prasárna" je naprostý standard dneska. A kolikrát ne, že tomu nerozumí, ale je to pro ně jendodušší. V sítí mají jen neveřejky, často jen staticky routované, tak veřejka znamená práci navíc. Dále je to maximálně efektivní využití prostoru, protože jinak by musely většinou routovat blok /30 na zákazníka, takto spotřebují jednu /32 a řada dalších věcí...

Jenže kdyby k tomu DNATu přidali ještě SNAT, přinejmenším pokud je to požadavek z jejich sítě, aspoň by to fungovalo. Jinak zákazníkovi mohou klidně routovat /32, nic v tom nebrání.

Hairpin NAT je řešením této situace. Pokud teda ISPík chce vůbec vzájemnou komunikci mzi svými uživateli podporovat. Řada jich to natvrdo blokuje bez ohledu na to, zda klienti mají veřejky nebo neveřejky... :-(
Routovat a posílat se dá /32 v pohodě, ale je to práce navíc, pokud nemá v provozu dynamický routing (řada nemá). Jiná věc je, že pak záleží i dost na tom, kde má ta veřejka končit. Řada zařízení neustojí situaci, že dostane /32 veřejku a k tomu bránu nějakou neveřejku. Každý nemá Mikrotik/linux, kde by to šlo bastlit a trvá na poctivém /30 spojováku.  pak buď obětuji tu /30 na zákoše nebo dělám překrývjící se segmenty nebo to různě tuneluji (pokrokoví přes PPPoE, někteří L2TP a podobné).